Темный интернет, известный также как «глубокая паутина» или «dark web» — зловещее пространство, где планируются самые опасные кибер-атаки, а конфиденциальные данные о компаниях продаются за биткоины. Но как узнать, что там происходит и защитить свой бизнес от акул из «темных глубин»?
Полагая, что дарк веб — цитадель кровавых преступников, промышляющих продажей наркотиков, работорговлей, наймом киллеров и прочими зловещими услугами, то вы заблуждаетесь. Не все так страшно. Но интеллектуальная собственность вашей компании, email-базы или данные кредитных карт клиентов вполне могут продаваться там без вашего ведома.
Структура «глубокой паутины»
Темный интернет — это гигантская кроличья нора. По оценкам, дарк веб в 500 раз больше, чем «легальный» интернет, которым мы пользуемся ежедневно. Эта сеть включает неиндексируемые сайты, защищенные паролями (подобные онлайн-банкингу и сайтам с платным доступом). В темной сети люди используют шифрование, чтобы скрыть свое местонахождение, идентичность и подробную информацию о посещенных сайтах. Браузер Tor — наиболее распространенный способ доступа к «невидимому» интернету. Бесплатный и легкий в установке, Tor защищает конфиденциальность пользователя, перемещая трафик по случайной, распределенной сети серверов, запущенных добровольцами со всего мира. Хотя глубокая паутина не полностью населена «плохими парнями», она заработала репутацию виртуального гетто, цифрового «черного рынка», где можно купить или продать почти что угодно.
Преступники нашего времени более организованы и специализируются на новых типах атак. Поэтому предприятиям не стоит игнорировать дарк веб, разрабатывая стратегию компьютерной безопасности — по словам Орели Перес (Aurelie Perez), старшего консультанта по безопасности Orange Cyberdefense. «Глубокая паутина — удобное место для киберпреступников. Она предлагает все, что нужно для быстрых атак», говорит она.
Всего пять лет назад злоумышленники получили контроль над всей цепочкой создания атаки. Им нужно определить цель, получить инсайдерскую информацию, найти уязвимости, разработать правильную тактику удара и отмыть полученные деньги. Долгий, сложный и дорогостоящий процесс «Большая угроза современности в том, что экосистема создала темную паутину. Это изменит правила игры в кибер-экономике», объясняет Перес.
«Киберпреступники сегодня специализируются на одном сервисе и продают его на более широкий рынок. Эксперты могут связываться и действовать быстрее. Поскольку большинство покупок по моделям pay-per-success или pay-per-install приходится на основные тарифы, это также удешевляет разработку атаки. А если одна тактика не сработает, преступники начнут экспериментировать с другими. Имея технику, приносящую результаты, они станут повторно использовать и перепродавать ее».
Как работает темный веб?
В этом теневом мире преступники должны быстро сбывать с рук незаконные активы. Поэтому, как и в любом другом бизнесе, они нуждаются в рекламе. Такие сайты, как Pastebin (из «светлой» паутины) позволяют разместить анонимный текст на определенный период времени. Именно здесь фигурировал взломанный email-аккаунт председателя и CEO Sony Pictures Entertainment Майкла Линтона (Michael Lynton).
Существуют также виртуальные магазины по торговле незаконными данными. Более 200 миллионов аккаунтов Yahoo были размещены для продажи на площадке дарк веба The Real Deal в прошлом году. Сумма сделки составляла 3 биткоина ($1824). По данным Института критики технологической инфраструктуры (Institute for Critical Infrastructure Technology, ICIT), на этот ресурс, вместе с Dream Market и AlphaBay, «сливаются» краденные персональные данные, включая медицинскую информацию. Tesco, O2, Target, Home Depot — только несколько брендов, пострадавших от такого рода преступлений в последние годы.
Иногда контент на продажу настолько «горячий», что уходит за несколько минут. Скорость преступных сделок, размер и защищенность дарк веба, равно как отсутствие коммерческих поисковых инструментов и нехватка экспертов, затрудняет компаниям определение внутренних угроз от темной паутины. Должный уровень безопасности требует работы экспертных групп, которые отслеживают происходящее в режиме 24/7.
Чтобы следить за активностью в дарк вебе, нужны межнациональные команды «кибер-детективов». Операционные центры кибербезопасности (Cyber Security Operations Centers, CyberSOCs) нанимают «этичных» хакеров, носителей слэнга, используемого преступниками. Незаконную деятельность часто сложно идентифицировать на просторах сети. А «этичные» хакеры используют свои знания для программирования специализированных инструментов «больших данных» и искусственного интеллекта, сканирующих темный веб и анализирующих результаты. Пример «маскарада» киберпреступников — они идентифицируют данные, относящиеся к конкретному предприятию, и выстраивают доверие проведением фальшивых сделок, чтобы продемонстрировать свою активность. А наработки «этичных» хакеров позволяют идентифицировать таких мошенников.
Как защититься от угроз глубокой паутины?
Проактивная позиция и сбор оперативной информации позволяет компаниям создать систему раннего оповещения о новых возможных атаках, которые еще только разрабатываются. Команды наблюдения помогут выяснить, обсуждается ли сейчас ваша организация в сомнительных кругах. Они сообщат о потенциальных тактиках киберпреступников, чтобы вы заблаговременно укрепили свою защиту. «Это игра в кошки-мышки», объясняет Перес. «Речь о том, чтобы непрерывно приспосабливаться к тактикам плохих парней и обходить их».
В то же время, наблюдения открывают пути к противодействию угрозам. Если анализ показал, что пароли компании готовятся к продаже в темном вебе, то владельцы могут немедленно изменить их и скорректировать политику безопасности.
Помните, что не все атаки приходят извне. Инсайдерские угрозы могут исходить от неблагонадежных сотрудников, собирающих информацию, чтобы сбыть ее в темных сетях или нанести вред вашей репутации.
«Большинство компаний по-прежнему смотрит внутрь, говоря о безопасности. Бизнесы обеспокоены сетями и хакерами, проникающими в девайсы и данные», объясняет Перес. «Но стоит взглянуть вовне, изучить, не выложены ли уже на продажу IP, данные сотрудников и клиентов. Результаты могут удивить многие компании».
Криминальный рынок в темной сети вырос феноменально быстро. И возможно, ваша организация уже на прицеле хакеров.
Jan has been writing about technology for over 22 years for magazines and web sites, including ComputerActive, IQ magazine and Signum. She has been a business correspondent on ComputerWorld in Sydney and covered the channel for Ziff-Davis in New York.